dumpcap 是一个在 Linux 系统中常用的命令行工具,用于捕获网络流量并将其保存到文件中。以下是一些常用的 dumpcap 参数:
-i <interface>: 指定要捕获流量的网络接口。-w <filename>: 指定输出文件的名称。-C <size>: 设置每个输出文件的最大大小(以 MB 为单位)。-G <seconds>: 设置文件轮转的时间间隔(以秒为单位)。-W <files>: 设置要保留的最大文件数量。-b <snaplen>: 设置捕获数据包的最大长度(以字节为单位)。-s <snaplen>: 同 -b,用于设置捕获数据包的最大长度。-e <promisc>: 设置是否启用混杂模式(默认是启用)。-n <num>: 指定要捕获的数据包数量。-B <size>: 设置缓冲区大小(以 MB 为单位)。-q: 减少输出信息的详细程度。-v: 增加输出信息的详细程度。-V: 显示 dumpcap 的版本信息。-h: 显示帮助信息。-f <filter>: 使用 BPF(Berkeley Packet Filter)语法指定过滤条件,只捕获符合条件的数据包。-I: 使用混杂模式捕获所有流量,即使不是指定接口上的流量。-K: 启用内核级捕获,通常用于高性能需求。-l: 在捕获过程中记录日志文件。-m <mapfile>: 使用指定的映射文件来解析网络协议。-M <mapfile>: 类似于 -m,但用于更新现有的映射文件。-N: 不解析协议头,只捕获原始数据包。-O: 不进行字节序转换,直接保存原始数据包。-P: 保持时间戳的精度(默认是毫秒级)。-r <filename>: 从指定的文件中读取捕获的数据包。dumpcap -i eth0 -w capture.pcap -C 100 -G 3600 -W 5
这个命令会在 eth0 接口上捕获流量,保存到 capture.pcap 文件中,每个文件最大 100 MB,每小时轮转一次,最多保留 5 个文件。
请注意,dumpcap 的参数可能会因版本不同而有所差异,建议查看具体版本的官方文档或使用 dumpcap --help 获取最新信息。